Мошенники начали новую волну атак с подменой SMS-уведомлений от имени Telegram. Пользователи по всему миру получают сообщения, которые выглядят как официальные оповещения сервиса поддержки, но на самом деле ведут на фишинговые сайты и используются для кражи аккаунтов.
Главная особенность этой схемы — использование геотаргетинга. Текст SMS автоматически подстраивается под страну и язык владельца номера. Если телефон зарегистрирован в Испании — сообщение придёт на испанском, для российского номера текст будет на русском, для французского — на французском и так далее. Такой «локальный» подход создаёт иллюзию подлинности: пользователю кажется, что с ним общается официальная служба поддержки, а не случайные злоумышленники.
Один из случаев наглядно показал, насколько опасной стала эта схема. Редактору популярного IT-издания пришло SMS якобы от «Telegram» с предупреждением: его аккаунт якобы признан подозрительным, и чтобы избежать блокировки, предлагалось «подтвердить личность» по ссылке. Сообщение выглядело правдоподобно: тот же отправитель, тот же диалог SMS, похожий стиль формулировок.
Внутри SMS содержалась ссылка на сайт с авторизацией через Telegram. Внешне ресурс напоминал знакомую страницу входа: логотип, поля для ввода, кнопка подтверждения. Но был один критически важный нюанс — домен. Официальный мессенджер использует только адреса с зонами telegram.org и t.me. Любой другой домен, даже если он очень похож по написанию, — явный признак мошенничества. В данном случае страница находилась на стороннем ресурсе, полностью подконтрольном злоумышленникам.
Отдельная проблема — подмена идентификатора отправителя. В этом случае мошенники смогли указать в качестве имени отправителя Telegram, из‑за чего сообщение оказалось в той же цепочке SMS, где раньше приходили легитимные коды авторизации. На экране смартфона пользователь видит одну переписку «Telegram», где перемешаны как настоящие системные коды, так и поддельные сообщения злоумышленников. Для неподготовленного человека различить их почти нереально.
Важно понимать: то, что SMS попало в знакомый диалог, не означает, что оно действительно отправлено Telegram. Телефон не умеет проверять подлинность отправителя, он просто группирует сообщения по совпадающему имени. Если мошенник указал тот же идентификатор, что и официальный сервис, устройство покажет это в одном окне. Технических инструментов для различения настоящих и поддельных SMS у обычного пользователя нет — остаётся только внимательность и знание базовых правил безопасности.
Парадокс ситуации в том, что в некоторых странах, в том числе в России, настоящие SMS с кодами подтверждения от Telegram могут приходить с перебоями из‑за ограничений и фильтрации со стороны регуляторов и операторов. Зато фишинговые сообщения зачастую доходят без проблем. Это объясняется тем, что Telegram официально работает через крупные международные шлюзы отправки SMS, маршруты которых хорошо известны операторам и контролирующим органам. Эти каналы могут ограничиваться, замедляться или помечаться как подозрительные.
Мошенники действуют иначе. Они не используют официальные, прозрачные для регуляторов маршруты, а покупают рассылки у небольших провайдеров в странах с мягким или фактически отсутствующим контролем за SMS-трафиком. Для сотовых операторов такие сообщения выглядят как обычные международные SMS, а не как сервисные коды конкретного приложения. В результате фильтры пропускают их без дополнительной проверки, а пользователь видит на экране привычное имя отправителя.
Отсюда возникает закономерный вопрос: стоит ли россиянам и жителям других стран опасаться подобных рассылок? Однозначно да. Подобные схемы нацелены не только на массовую аудиторию, но и на конкретных людей, чьи аккаунты представляют особую ценность — журналистов, предпринимателей, владельцев популярных каналов, администраторов чатов и групп. Потеря такого аккаунта может привести не только к утечке личной информации, но и к репутационным и финансовым потерям.
Как действуют злоумышленники после того, как жертва переходит по ссылке? Пользователю показывают фальшивую форму входа: его просят ввести номер телефона, а затем — код подтверждения, который приходит в настоящем SMS от Telegram. В этот момент аккаунт уже взломан: код одновременно вводится в сессию мошенников, и они получают полный доступ к профилю. Часто после этого они сразу включают двухфакторную аутентификацию, меняют привязку к почте и телефону или пытаются монетизировать доступ — например, продают канал или рассылают от имени жертвы новые фишинговые сообщения.
Чтобы не стать жертвой подобной атаки, важно придерживаться нескольких строгих правил:
– Никогда не переходите по ссылкам из SMS, если речь идёт о подтверждении аккаунта или «безопасности профиля».
– Для входа в Telegram всегда используйте только официальное приложение или веб‑версию, открытую вручную, а не через ссылку из сообщения.
– Обращайте внимание на адрес сайта в строке браузера: любые варианты, отличающиеся от привычных доменов сервиса, должны восприниматься как опасные.
– Если получили тревожное уведомление, лучше самостоятельно зайти в настройки мессенджера и проверить состояние аккаунта, а не следовать инструкциям из SMS.
Дополнительно имеет смысл регулярно просматривать список активных сессий в настройках Telegram. В разделе «Устройства» отображаются все телефоны, планшеты и компьютеры, где сейчас выполнен вход в ваш аккаунт. Если вы видите неизвестное устройство, город или страну — немедленно завершите эту сессию и смените пароль (если включена двухфакторная аутентификация), а также проверьте, не установлены ли на вашем основном устройстве подозрительные приложения.
Отдельное внимание стоит уделить двухфакторной аутентификации. В Telegram она реализована через дополнительный пароль, который требуется помимо кода из SMS или авторизации через приложение. Даже если мошенник получит одноразовый код, без этого пароля он не сможет войти в аккаунт. Многие пользователи ленятся включать эту функцию, считая её лишней, но именно она часто становится последней линией обороны, когда остальные меры уже не сработали.
Нужно помнить и о семейной цифровой гигиене. Мошенники активно эксплуатируют доверчивость пожилых людей и подростков, которые хуже разбираются в нюансах кибербезопасности. Имеет смысл заранее объяснить родственникам:
– любая срочность и запугивание в SMS — повод насторожиться;
– служба поддержки не требует немедленно переходить по ссылке «иначе аккаунт заблокируют»;
– безопаснее десять раз переспросить у более опытного человека, чем один раз ввести код на сомнительном сайте.
Не стоит забывать и про другие каналы атак: аналогичные схемы давно используются в отношении банков, почтовых сервисов и соцсетей. Подмена имени отправителя, фальшивые страницы входа, угрозы блокировкой — это универсальный набор приёмов. Если научиться распознавать их в одном контексте (например, с Telegram), будет проще замечать подвох и в остальных ситуациях.
Для компаний, чьи сотрудники активно пользуются Telegram в работе, логично ввести внутренние инструкции:
– прописать, как выглядят официальные уведомления сервисов, которыми пользуется организация;
– периодически проводить короткие обучающие рассылки с примерами фишинговых SMS и писем;
– назначить ответственного, к которому можно быстро обратиться при сомнительном уведомлении.
Такие простые меры нередко экономят время, деньги и репутацию, предотвращая массовый взлом рабочих аккаунтов.
Точно так же важно развеять популярный миф: «если сообщение пришло в ту же ветку, что и коды от сервиса, значит, оно настоящее». Это неверно. Современные спам‑платформы позволяют легко подменять идентификатор отправителя, используя любое имя — от названия банка до имени мессенджера. Телефон, не проверяя никаких цифровых подписей, просто подставляет новое SMS в уже существующий диалог. Поэтому единственный ориентир — содержание сообщения, логика происходящего и внимательная проверка адресов и действий, которые от вас требуют.
Если вы всё‑таки перешли по ссылке и ввели какие‑то данные, действовать нужно немедленно:
1. Откройте Telegram на основном устройстве и завершите все остальные сессии в настройках.
2. Включите двухфакторную аутентификацию (если она была отключена) и задайте сложный пароль.
3. Проверьте, не изменён ли номер телефона или дополнительные контактные данные в профиле.
4. Уведомьте знакомых и коллег, что ваш аккаунт мог быть скомпрометирован, — мошенники могут писать им от вашего имени.
5. Просканируйте устройство антивирусом и удалите подозрительные программы, если такие обнаружатся.
В перспективе проблему фишинговых SMS могла бы частично решить более широкая поддержка технологий проверки подлинности отправителя на уровне операторов и устройств. Но эти изменения требуют времени и согласованных усилий сразу нескольких сторон: разработчиков, операторов связи и регуляторов. До тех пор основная защита остаётся на стороне пользователя — критическое мышление, осторожность и понимание того, как устроены подобные схемы.
Вывод прост: относиться к SMS «от Telegram» (как и от любого другого сервиса) нужно максимально настороженно. Любая ссылка в таком сообщении — потенциально опасна. Безопаснее всего всегда инициировать действия самостоятельно через официальное приложение или сайт, не доверяя «подсказкам» из сообщений, даже если они приходят в знакомую ветку и выглядят как настоящие уведомления службы поддержки.
